導(dǎo)讀今年4月份，Apache Stuts 2之上發(fā)現(xiàn)的S2-033遠(yuǎn)程代碼執(zhí)行漏洞，以迅雷不及掩耳之勢席卷而來。其利用代碼很快就在短時(shí)間內(nèi)迅速傳播。而且官方針對這個(gè)高危漏洞的修復(fù)方案還是無效的。

?

悲劇的事情今天又再度發(fā)生了，這次發(fā)現(xiàn)的Struts 2新漏洞編號為CVE-2016-4438。 這是又一個(gè)很嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞：使用了REST插件的用戶就會遭遇該問題，有關(guān)該漏洞的詳情如下：

Apache Struts 2 ?S2-037 遠(yuǎn)程代碼執(zhí)行

漏洞編號：CVE-2016-4438

漏洞危害：造成遠(yuǎn)程代碼執(zhí)行

漏洞等級：高危

影響版本：Apache struts ?2.3.20 ?- ?2.3.28.1 版本使用了REST插件的用戶

修復(fù)方案：加入cleanupActionName方法進(jìn)行過濾 或者 更新至官方struts2.3.29

FreeBuf百科：Struts 2

Apache Struts 2是世界上最流行的Java Web服務(wù)器框架之一。Struts 2是Struts的換代產(chǎn)品。在Struts 1和WebWork的技術(shù)基礎(chǔ)上，進(jìn)行合并產(chǎn)生全新的Struts 2框架。其全新的Struts 2的體系結(jié)構(gòu)與Struts 1的體系結(jié)構(gòu)差別巨大。Struts 2以WebWork為核心，采用攔截器的機(jī)制處理用戶的請求，這樣的設(shè)計(jì)也使得業(yè)務(wù)邏輯控制器能夠與 ServletAPI完全脫離開，所以Struts 2可以理解為WebWork的更新產(chǎn)品。雖然從Struts 1到Struts 2有著太大的變化，但是相對于WebWork，Struts 2的變化很小。

FreeBuf將持續(xù)跟蹤報(bào)道該漏洞細(xì)節(jié)及后續(xù)動態(tài)，請關(guān)注。

在線檢測

目前網(wǎng)藤漏洞感知系統(tǒng)（ cvs.vulbox.com ）已支持該漏洞檢測。您可以 免費(fèi)申請?jiān)囉镁W(wǎng)藤漏洞感知服務(wù)。

原文來自：http://www.freebuf.com/news/106954.html

轉(zhuǎn)載于:https://www.cnblogs.com/linux130/p/5608289.html

總結(jié)

以上是生活随笔為你收集整理的Struts 2再曝远程代码执行漏洞S2-037的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。